WO2006040895A1 - 中継装置、中継方法および中継プログラム並びにネットワーク攻撃防御システム - Google Patents

Abstract

　中継装置１０は、シグネチャリストにシグネチャ（容疑シグネチャ、正規シグネチャ、不正シグネチャ）を登録する際に、自動生成シグネチャよりも設定シグネチャの方が優先度が高くなるようになどの観点から、登録されるシグネチャの優先順位を決定する。そして、中継装置１０は、パケットの通過を制御する際に、シグネチャリストに登録されたシグネチャのなかから優先順位（優先度）の高い順にシグネチャを選択して、当該選択したシグネチャに該当するか否かを判別し、該当するシグネチャに基づいてパケットを制御する。 　　　 　　　

Description

明 細 書

中継装置、中継方法および中継プログラム並びにネットワーク攻撃防御シ ステム

技術分野

[0001] この発明は、パケットの通過を制御するためのシグネチヤに基づいてネットワーク上 のパケットの通過を制御する中継装置、中継方法および中継プログラム並びにネット ワーク攻撃防御システムに関する。

背景技術

[0002] 従来より、防御対象であるコンピュータが接続されたネットワーク上に複数の中継装 置を有し、 DoS (DenialolService)攻撃または DDoS (DistributedDenialolService)攻 撃を受けるコンピュータを防御するネットワーク攻撃防御システムが知られて 、る。例 えば、特許文献 1 (特開 2003— 283554号公報）に開示されたネットワーク攻撃防御 システムでは、中継装置において、予め決められた攻撃容疑パケットの検出条件に 通信トラヒックが合致する力否かをチェックする。そして、合致したトラヒックを検出した 場合に、中継装置は、検出された攻撃容疑パケットを識別するための容疑シグネチ ャを生成して上流の中継装置へ送信するとともに、以後、容疑シグネチヤによって識 別される攻撃容疑パケットの伝送帯域を制限する処理を行う。

[0003] ここで、上流または下流の中継装置とは、隣接関係をもつ中継装置 (以下、隣接中 継装置という。）であって、かつ、攻撃容疑パケットが流入する方向に対する中継装置 である。そして、上記で容疑シグネチヤを受信した中継装置は、下流の中継装置から 受信した容疑シグネチヤを上流の中継装置に送信するとともに、容疑シグネチヤによ つて識別される攻撃容疑パケットの伝送帯域を制限する処理を行う。

[0004] また、この従来技術における中継装置は、正規利用者が利用する通信端末から送 信された通信パケットを特定するための正規条件 (つまり、攻撃とはみなされない正 規パケットの条件)を上流の中継装置へ送信するとともに、正規条件および容疑シグ ネチヤに基づいて正規パケットを識別するための正規シグネチヤを生成し、以後、正 規シグネチヤによって識別される正規パケットの伝送帯域制限を解除する処理を行う 。さらに、上記で正規条件を受信した中継装置は、受信した正規条件を上流の中継 装置へ送信するとともに、正規条件および容疑シグネチヤに基づいて正規シグネチ ャを生成し、以後、正規シグネチヤによって識別される正規パケットの伝送帯域制限 を解除する処理を行う。

[0005] 上記したように、従来技術における中継装置は、攻撃容疑パケットの伝送帯域を制 限する処理を行うとともに、正規パケットの伝送帯域制限を解除する処理を行うが、か 力る処理を行うのがフィルタ部である。つまり、中継装置のフィルタ部では、正規シグ ネチヤによる条件判定処理で合致したパケットを所定のキューに入れた後、正規シグ ネチヤに合致しないパケットに対して容疑シグネチヤによる条件判定処理を行う。

[0006] 特許文献 1：特開 2003— 283554号公報

発明の開示

発明が解決しょうとする課題

[0007] し力しながら、上記した従来の技術は、中継装置において、正規シグネチヤによる 条件判定処理および容疑シグネチヤによる条件判定処理を予め決められた固定的 な順序で処理するので、ネットワーク攻撃防御システムにお 、て望ま 、形態となる ような所望の処理順序でパケットを処理することができな 、と 、う問題があった。

[0008] そこで、この発明は、上述した従来技術の課題を解決するためになされたものであ り、複数のシグネチヤがある場合において所望の順序でパケットを処理することが可 能な中継装置、中継方法および中継プログラム並びにネットワーク攻撃防御システム を提供することを目的とする。

課題を解決するための手段

[0009] 上述した課題を解決し、 目的を達成するため、請求項 1に係る発明は、パケットの通 過を制御するためのシグネチヤを記憶するシグネチヤ記憶手段を有し、当該シグネ チヤ記憶手段に記憶されたシグネチヤに基づいてパケットの通過を制御するネットヮ ーク上の中継装置であって、前記シグネチヤ記憶手段に記憶されるシグネチヤにつ Vヽて優先順位を決定する優先順位決定付与手段と、前記優先順位決定手段によつ て決定された優先順位の高 、順に、前記シグネチヤ記憶手段からシグネチヤを選択 し、当該選択されたシグネチヤに基づ 、て前記パケットの通過を制御するパケット制 御手段と、を備えたことを特徴とする。

[0010] また、請求項 2に係る発明は、上記の発明において、前記シグネチヤ記憶手段は、 所定の条件判定によって自動的に生成された自動生成シグネチヤおよび前記ネット ワークの管理者によって設定された設定シグネチヤを記憶するものであって、前記優 先順位決定手段は、前記シグネチヤ記憶手段に記憶される自動生成シグネチヤおよ び設定シグネチヤにっ 、て、当該自動生成シグネチヤよりも設定シグネチヤの方に高 V、優先順位を付与することを特徴とする。

[0011] また、請求項 3に係る発明は、上記の発明において、前記シグネチヤ記憶手段は、 前記パケットの通過を所定の範囲で制限するための複数のシグネチヤを記憶するも のであって、前記優先順位決定手段は、前記シグネチヤ記憶手段に記憶される複数 のシグネチヤにっ 、て、前記制限の範囲が厳し 、シグネチヤの方に高 、優先順位を 付与することを特徴とする。

[0012] また、請求項 4に係る発明は、上記の発明において、所定の攻撃容疑検出条件に 基づいて攻撃容疑パケットを検出し、当該攻撃容疑パケットを制限するための容疑シ グネチヤを生成する容疑シグネチヤ生成手段を備え、前記優先順位決定手段は、前 記容疑シグネチヤ生成手段によって容疑シグネチヤが生成された場合に、当該容疑 シグネチヤに優先順位を付与して前記シグネチヤ記憶手段に格納することを特徴と する。

[0013] また、請求項 5に係る発明は、上記の発明において、所定の正規条件に基づいて 正当なパケットを許可するための正規シグネチヤを生成する正規シグネチヤ生成手 段を備え、前記優先順位決定手段は、前記正規シグネチヤ生成手段によって正規シ グネチヤが生成された場合に、当該正規シグネチヤに優先順位を付与して前記シグ ネチヤ記憶手段に格納することを特徴とする。

[0014] また、請求項 6に係る発明は、上記の発明において、所定の不正トラヒック検出条件 に基づ!/、て不正パケットを検出し、当該不正パケットを制限するための不正シグネチ ャを生成する不正シグネチヤ生成手段を備え、前記優先順位決定手段は、前記不正 シグネチヤ生成手段によって不正シグネチヤが生成された場合に、当該不正シグネ チヤに優先順位を付与して前記シグネチヤ記憶手段に格納することを特徴とする。 [0015] また、請求項 7に係る発明は、上記の発明において、攻撃容疑パケットを制限する ための容疑シグネチヤを他の中継装置力 受信するシグネチヤ受信手段を備え、前 記優先順位決定手段は、前記シグネチヤ生成手段によって容疑シグネチヤが受信さ れた場合に、当該容疑シグネチヤに優先順位を付与して前記シグネチヤ記憶手段に 格納することを特徴とする。

[0016] また、請求項 8に係る発明は、上記の発明において、前記他の中継装置から受信し た所定の正規条件に基づいて正当なパケットを許可するための正規シグネチヤを生 成する正規シグネチヤ生成手段を備え、前記優先順位決定手段は、前記正規シグ ネチヤ生成手段によって正規シグネチヤが生成された場合に、当該正規シグネチヤ に優先順位を付与して前記シグネチヤ記憶手段に格納することを特徴とする。

[0017] また、請求項 9に係る発明は、上記の発明において、ネットワーク管理者力もシグネ チヤを受け付けて入力するシグネチヤ入力手段を備え、前記優先順位決定手段は、 前記シグネチヤ入力手段によってシグネチヤが入力された場合に、当該シグネチヤ に優先順位を付与して前記シグネチヤ記憶手段に格納することを特徴とする。

[0018] また、請求項 10に係る発明は、パケットの通過を制御するためのシグネチヤを記憶 するシグネチヤ記憶手段を有し、当該シグネチヤ記憶手段に記憶されたシグネチヤ に基づ 、てパケットの通過を制御するネットワーク攻撃防御システムであって、前記 シグネチヤ記憶手段に記憶されるシグネチヤにつ ヽて優先順位を決定する優先順位 決定付与手段と、前記優先順位決定手段によって決定された優先順位の高 、順に 、前記シグネチヤ記憶手段からシグネチヤを選択し、当該選択されたシグネチヤに基 づ 、て前記パケットの通過を制御するパケット制御手段と、を備えたことを特徴とする

[0019] また、請求項 11に係る発明は、パケットの通過を制御するためのシグネチヤを記憶 するシグネチヤ記憶手段を有し、当該シグネチヤ記憶手段に記憶されたシグネチヤ に基づいてパケットの通過を制御するネットワーク上の装置における中継方法であつ て、前記シグネチヤ記憶手段に記憶されるシグネチヤにつ!、て優先順位を決定する 優先順位決定付与工程と、前記優先順位決定工程によって決定された優先順位の 高い順に、前記シグネチヤ記憶手段からシグネチヤを選択し、当該選択されたシグネ チヤに基づ 、て前記パケットの通過を制御するパケット制御工程と、を含んだことを特 徴とする。

[0020] また、請求項 12に係る発明は、上記の発明において、前記シグネチヤ記憶手段は 、所定の条件判定によって自動的に生成された自動生成シグネチヤおよび前記ネッ トワークの管理者によって設定された設定シグネチヤを記憶するものであって、前記 優先順位決定工程は、前記シグネチヤ記憶手段に記憶される自動生成シグネチヤ および設定シグネチヤにっ 、て、当該自動生成シグネチヤよりも設定シグネチヤの方 に高 ヽ優先順位を付与することを特徴とする。

[0021] また、請求項 13に係る発明は、上記の発明において、前記シグネチヤ記憶手段は 、前記パケットの通過を所定の範囲で制限するための複数のシグネチヤを記憶するも のであって、前記優先順位決定工程は、前記シグネチヤ記憶手段に記憶される複数 のシグネチヤにっ 、て、前記制限の範囲が厳し 、シグネチヤの方に高 、優先順位を 付与することを特徴とする。

[0022] また、請求項 14に係る発明は、パケットの通過を制御するためのシグネチヤをシグ ネチヤ記憶手段に記憶し、当該シグネチヤ記憶手段に記憶されたシグネチヤに基づ Vヽてパケットの通過を制御する方法をコンピュータに実行させる中継プログラムであ つて、前記シグネチヤ記憶手段に記憶されるシグネチヤにつ！、て優先順位を決定す る優先順位決定付与手順と、前記優先順位決定手順によって決定された優先順位 の高い順に、前記シグネチヤ記憶手段からシグネチヤを選択し、当該選択されたシグ ネチヤに基づ!/、て前記パケットの通過を制御するパケット制御手順と、を備えたことを 特徴とする。

[0023] また、請求項 15に係る発明は、上記の発明において、前記シグネチヤ記憶手段は 、所定の条件判定によって自動的に生成された自動生成シグネチヤおよび前記ネッ トワークの管理者によって設定された設定シグネチヤを記憶するものであって、前記 優先順位決定手順は、前記シグネチヤ記憶手段に記憶される自動生成シグネチヤ および設定シグネチヤにっ 、て、当該自動生成シグネチヤよりも設定シグネチヤの方 に高 ヽ優先順位を付与することを特徴とする。

[0024] また、請求項 16に係る発明は、上記の発明において、前記シグネチヤ記憶手段は 、前記パケットの通過を所定の範囲で制限するための複数のシグネチヤを記憶するも のであって、前記優先順位決定手順は、前記シグネチヤ記憶手段に記憶される複数 のシグネチヤにっ 、て、前記制限の範囲が厳し 、シグネチヤの方に高 、優先順位を 付与することを特徴とする。

発明の効果

[0025] 請求項 1、 10、 11または 14の発明によれば、シグネチヤ記憶部に記憶されるシグ ネチヤにつ 、て優先順位を決定しておき、優先順位の高 、順にシグネチヤを選択し 、当該選択されたシグネチヤに基づいてパケットの通過を制御するので、複数のシグ ネチヤがある場合において所望の順序でパケットを処理することが可能になる。

[0026] また、請求項 2、 12または 15の発明によれば、自動生成シグネチヤよりも設定シグ ネチヤの方に高 、優先順位を付与するので、ネットワーク管理者が設定した設定シグ ネチヤが優先的にパケットの制御に用いられる結果、ネットワーク管理者が意図する 制御を優先的に行うことが可能になる。

[0027] また、請求項 3、 13または 16の発明によれば、パケットの通過を所定の範囲で制限 するための複数のシグネチヤについては、制限の範囲が厳しいシグネチヤの方に高 い優先順位を付与するので、シグネチヤに含まれる制限情報の帯域が厳しいシグネ チヤほど優先的にパケットの制御に用いられる結果、パケットの制御に矛盾を生じさ せることなぐ確実にパケットを処理することが可能になる。

[0028] また、請求項 4の発明によれば、攻撃容疑パケットの検出に際して、容疑シグネチヤ を生成するとともに当該容疑シグネチヤの優先順位を決定するので、攻撃容疑バケツ ト検出時に生成される容疑シグネチヤに遅滞なく優先順位を付与することが可能にな る。

[0029] また、請求項 5の発明によれば、攻撃容疑パケットの検出に際して、正規シグネチヤ を生成するとともに当該正規シグネチヤの優先順位を決定するので、攻撃容疑バケツ ト検出時に生成される正規シグネチヤに遅滞なく優先順位を付与することが可能にな る。

[0030] また、請求項 6の発明によれば、不正トラヒックの検出に際して、不正シグネチヤを 生成するとともに当該不正シグネチヤの優先順位を決定するので、不正トラヒック検 出時に生成される不正シグネチヤに遅滞なく優先順位を付与することが可能になる。

[0031] また、請求項 7の発明によれば、他の中継装置力も容疑シグネチヤを受信した際に 、当該容疑シグネチヤの優先順位を決定するので、他の中継装置から受信した容疑 シグネチヤに遅滞なく優先順位を付与することが可能になる。

[0032] また、請求項 8の発明によれば、他の中継装置から正規条件を受信した際に、正規 シグネチヤを生成するとともに当該正規シグネチヤの優先順位を決定するので、正規 条件受信時に生成される正規シグネチヤに遅滞なく優先順位を付与することが可能 になる。

[0033] また、請求項 9の発明によれば、ネットワーク管理者力もシグネチヤを受け付けた際 に、当該シグネチヤの優先順位を決定するので、ネットワーク管理者によって設定さ れたシグネチヤに遅滞なく優先順位を付与することが可能になる。

図面の簡単な説明

[0034] [図 1]図 1は、ネットワーク攻撃防御システムの構成を示すシステム構成図である。

[図 2]図 2は、中継装置の構成を示すブロック図である。

[図 3]図 3は、攻撃容疑検出条件テーブルに記憶される情報の例を示す図である。

[図 4]図 4は、不正トラヒック検出条件テーブルに記憶される情報の例を示す図である

[図 5]図 5は、正規条件テーブルに記憶される情報の例を示す図である。

[図 6]図 6は、シグネチヤリストに記憶される情報の例を示す図である。

[図 7]図 7は、攻撃容疑パケット検出時の処理手順を示すフローチャートである。

[図 8]図 8は、シグネチヤ受信時の処理手順を示すフローチャートである。

[図 9]図 9は、不正パケット検出時の処理手順を示すフローチャートである。

符号の説明

[0035] 10 中継装置

11 ネットワークインタフェース

12 パケット検出部

13 攻撃検出部

14 シグネチヤ通信部 15 優先順位決定部

16 フイノレタ咅

17 入力部

20 サーバ

30 通信端末

100 ネットワーク攻撃防御システム

発明を実施するための最良の形態

[0036] 以下に添付図面を参照して、この発明に係る中継装置、中継方法および中継プロ グラム並びにネットワーク攻撃防御システムの実施例を詳細に説明する。なお、以下 では、本実施例で用いる主要な用語、ネットワーク攻撃防御システムの概要および特 徴、中継装置の構成および処理、本実施例の効果を順に説明し、最後に本実施例 に対する種々の変形例を説明する。

実施例

[0037] [用語の説明]

まず最初に、本実施例で用いる主要な用語を説明する。本実施例で用いる「容疑 シグネチヤ」とは、攻撃容疑のあるパケット（攻撃容疑パケット）を制限するためのシグ ネチヤであり、具体的には、通過が制限される攻撃容疑パケットの特徴を示す属性（ 例えば、宛先 IPアドレス、プロトコル、宛先ポート番号など)や制限内容 (例えば、特 定のパケットが流入するときの帯域を制限するための制限情報など)を規定して構成 される。

[0038] また、本実施例で用いる「正規シグネチヤ」とは、容疑シグネチヤに該当するパケット のな力から攻撃とはみなされな 、正規パケット（正規ユーザの通信パケットである正 規パケット）の通過を許可するためのシグネチヤであり、具体的には、通過が許可され る正規パケットの特徴を示す属性 (例えば、送信元 IPアドレス、サービスタイプ、宛先 I Pアドレス、プロトコル、宛先ポート番号など）を規定して構成される。

[0039] また、本実施例で用いる「不正シグネチヤ」とは、不正トラヒックに含まれる不正パケ ット（不正トラヒック条件を満たすパケット）を制限するためのシグネチヤであり、具体的 には、不正パケットの送信元 IPアドレス等を規定して構成される。 [0040] [システムの概要および特徴]

次に、図 1を用いて、本実施例に係るネットワーク攻撃防御システムの概要および 特徴を説明する。図 1は、本実施例に係るネットワーク攻撃防御システムの構成を示 すシステム構成図である。

[0041] 同図に示すように、このネットワーク攻撃防御システム 100は、ネットワーク上に複数 の中継装置 10を備えて構成される。また、このネットワーク上には、 DoS攻撃や DDo S攻撃の対象となるコンピュータとしてのサーバ 20や、かかる DoS攻撃や DDoS攻撃 を行い得るコンピュータとしての通信端末 30が接続されている。なお、以下では、図 示した中継装置 10の各々を区別する場合には、それぞれ中継装置 10— 1〜中継装 置 10— 7として説明し、サーバ 20の各々を区別する場合には、サーバ 20— 1または サーバ 20— 2として説明し、通信端末 30の各々を区別する場合には、通信端末 30 —1〜通信端末 30— 5として説明する。

[0042] 力かるネットワーク攻撃防御システム 100において、中継装置 10は、通信端末 30 のうち少なくとも 1つ以上の通信端末 30がネットワーク上のサーバ 20に対して DoS攻 撃または DDoS攻撃を行っていることを検出した場合に、パケットの通過を制御する ためのシグネチヤ（容疑シグネチヤや不正シグネチヤ）を生成するとともに、パケットの 通過を許可するための正規シグネチヤを生成する。そして、中継装置 10は、自ら生 成したシグネチヤ（容疑シグネチヤ、不正シグネチヤおよび正規シグネチヤ）をシグネ チヤリストに登録する。

[0043] また、中継装置 10は、生成した容疑シグネチヤ（さらには、正規シグネチヤの生成 に用いた正規条件)を隣接中継装置に送信する。その一方で、中継装置 10は、隣接 中継装置力 容疑シグネチヤ等を受信した場合には、正規条件に基づ!、て正規シグ ネチヤを生成するとともに、受信した容疑シグネチヤおよび生成した正規シグネチヤ をシグネチヤリストに登録する。なお、隣接中継装置について例を挙げると、図 1にお いて、中継装置 10— 3における隣接中継装置は、中継装置 10—1、中継装置 10— 2、中継装置 10— 4および中継装置 10— 7であり、中継装置 10— 5および中継装置 10— 6とは、隣接関係をもたない。また、この隣接関係は、物理的な隣接を意味する ものではない。 [0044] さら〖こ、中継装置 10は、ネットワーク管理者からシグネチヤ (容疑シグネチヤ、不正 シグネチヤおよび正規シグネチヤ）の設定指示を受け付けて、設定指示に係るシグネ チヤをシグネチヤリストに登録するとともに、既にシグネチヤリストに登録されているシ グネチヤにつ 、てネットワーク管理者力も修正指示を受け付けて、修正後のシグネチ ャをシグネチヤリストに登録する。なお、本実施例では、ネットワーク管理者の設定指 示や修正指示によってシグネチヤリストに登録されたシグネチヤのことを「設定シグネ チヤ」と定義し、中継装置 10が自ら生成してシグネチヤリストに登録されたシグネチヤ や、隣接中継装置力 受信してシグネチヤリストに登録されたシグネチヤのことを「自 動生成シグネチヤ」と定義して説明する。

[0045] このようにして、中継装置 10は、容疑シグネチヤ、不正シグネチヤおよび正規シグ ネチヤをシグネチヤリストに登録する。そして、中継装置 10は、力かるシグネチヤリスト に基づいてパケットの通過を制御する。つまり、不正シグネチヤや容疑シグネチヤに 該当するパケットについては、伝送帯域を制限して通過させる力もしくは廃棄し、正 規シグネチヤに該当するパケットやいずれのシグネチヤにも該当しないパケットにつ いては、伝送帯域を制限せずに通過を許可する。

[0046] そして、本実施例における中継装置 10は、シグネチヤリストに登録されるシグネチヤ に優先順位を付与している点に主たる特徴がある。具体的には、中継装置 10は、パ ケットの通過を制御する際に、そのパケットがシグネチヤリストに登録されたシグネチヤ のいずれか〖こ該当するかを判別する処理を行うが、本実施例では、シグネチヤリスト に登録されたシグネチヤのな力から優先順位 (優先度)の高 、順にシグネチヤを選択 して、当該選択したシグネチヤに該当する力否かを判別し、該当するシグネチヤに基 づいてパケットを制御するようにしている。このため、複数のシグネチヤがあっても所 望の順序でパケットを処理することが可能になる。

[0047] なお、中継装置 10は、攻撃を防御しながらパケットを中継するための装置であり、 例えば、ルータとして機能してもよぐまたは、ブリッジとして機能してもよい。また、中 継装置 10は、中継装置 10等を管理するための管理用ネットワークに接続されていて もよぐシグネチヤは、管理用ネットワークを介して送受されてもよい。

[0048] [中継装置の構成] 次に、図 2を用いて、図 1に示した中継装置 10の構成を説明する。図 2は、中継装 置 10の構成を示すブロック図である。同図に示すように、この中継装置 10は、ネット ワークインタフェース部 11と、パケット取得部 12と、攻撃検出部 13 (並びに攻撃容疑 検出条件テーブル 13a、不正トラヒック検出条件テーブル 13bおよび正規条件テー ブル 13c)と、シグネチヤ通信部 14と、優先順位決定部 15と、フィルタ部 16 (並びに シグネチヤリスト 16a)と、入力部 17とを備えて構成される。

[0049] また、中継装置 10は、 CPU (CentralProcessingUnit)やメモリ、ハードディスク等を 有しており、パケット取得部 12、攻撃検出部 13、シグネチヤ通信部 14、優先順位決 定部 15およびフィルタ部 16は、 CPUによって処理されるプログラムのモジュールで あってもよい。また、このプログラムのモジュールは、 1つの CPUで処理されてもよく、 複数の CPUに分散して処理されてもよい。さらに、中継装置 10には、 Linux等の汎 用 OSをインスト一ノレしておき、汎用 OSに具備されるパケットフィルタをフィルタ部 16 として機能させてもよい。

[0050] なお、攻撃検出部 13は特許請求の範囲に記載の「容疑シグネチヤ生成手段」、「正 規シグネチヤ生成手段」、「不正シグネチヤ生成手段」に対応し、シグネチヤ通信部 1 4は同じく「シグネチヤ受信手段」に対応し、優先順位決定部 15は同じく「優先順位 決定手段」に対応し、フィルタ部 16は同じく「パケット制御手段」に対応し、シグネチヤ リスト 16aは同じく「シグネチヤ記憶手段」に対応し、入力部 17は同じく「シグネチヤ入 力手段」に対応する。

[0051] 図 2において、ネットワークインタフェース部 11は、ネットワークと接続されている通 信機器との間でパケットを送受する手段であり、具体的には、 LAN (LocalAreaNetwo rk)または WAN (WideAreaNetwork)などのネットワークと接続するためのネットワーク 接続カード等によって構成される。

[0052] 入力部 17は、ネットワーク管理者力も各種の情報や指示の入力を受付ける入力手 段であり、キーボードやマウス、マイクなどによって構成され、例えば、後述するシグ ネチヤリスト 16aに新たに登録されるシグネチヤの設定指示、既に登録されているシ グネチヤの修正指示や削除指示などを受け付けて入力する。なお、図 2には示して いないが、例えば、モニタ（若しくはディスプレイ、タツチパネル）やスピーカなど、各 種の情報を出力する出力手段を備えて中継装置 10を構成するようにしてもよい。

[0053] パケット取得部 12は、ネットワークインタフェース部 11が受信したパケットを取得し、 取得したパケットの統計に関する統計情報を攻撃検出部 13に提供する処理部であ る。

[0054] 攻撃検出部 13は、パケット取得部 12によって提供された統計情報に基づいて、攻 撃の検出および攻撃の分析を行う処理部であり、図 2に図示するように、攻撃容疑検 出条件テーブル 13a、不正トラヒック検出条件テーブル 13bおよび正規条件テープ ル 13cにそれぞれ接続される。ここで、各テーブル 13a〜13cに記憶される情報を具 体的に説明した後に、攻撃検出部 13による処理内容を説明する。

[0055] 図 3は、攻撃容疑検出条件テーブル 13aに記憶される情報、より詳細には、受信パ ケットが攻撃パケットである可能性がある攻撃容疑パケットを検出するために使用され る「攻撃容疑検出条件」の一例を示す図である。同図に示すように、攻撃容疑検出条 件は、検出属性、検出閾値および検出間隔の組合せ力 なる複数組 (ここでは 3組） のレコードで構成され、力かる攻撃容疑検出条件の各レコードの内のいずれかのレコ ードの条件にトラヒックが一致した場合に、このトラヒックの通信パケットは攻撃容疑パ ケットであると認識される。なお、番号はレコードを特定するために便宜上使用される ものである。

[0056] 攻撃容疑検出条件の「検出属性」には、例えば、 IPパケットに含まれる IPヘッダ部 の属性や、 IPパケットのペイロード部に含まれる TCPヘッダ部または UDPヘッダ部 の属性が指定される。具体的には、図 3において、番号 1のレコードの検出属性は、「 DestinationlPAddress (宛先 IPアドレス）」が「192.168.1.1/32」であり（dst=192.168.1.1 /32)、 IPの上位層（TCPまたは UDP)のプロトコル種別を示す「Protocol (プロトコル） 」が「TCP」であり（Protocol=TCP)、かつ、 IPの上位層プロトコルがどのアプリケーショ ンの情報であるかを示す「DestinationPort (宛先ポート番号）」が「80」である（Port=80 ) ヽぅ属性値の組で指定される。

[0057] また、番号 2のレコード検出属性は、「DestinationIPAddress (宛先 IPアドレス）」が「1 92.168.1.2/32」であり（dst=192.168.1.2/32)、かつ、「Protocol (プロトコル）」力^ UDP (UserDatagramprotocol)」である（Protocol=UDP)と!、う属性値の組で指定される。同 様に、番号 3のレコード検出属性は、「DestinationIPAddress (宛先 IPアドレス）」が「19 2.168.1.0/24」という属性で指定される。

[0058] 攻撃容疑検出条件の「検出閾値」は、同じレコードで指定される検出属性を持つ受 信パケットのトラヒックを攻撃容疑トラヒックとして検出するための最低の伝送帯域を指 定したものであり、攻撃容疑検出条件の「検出間隔」は、同じく最低の連続時間を指 定したものである。なお、図 3には示していないが、検出属性においては、「Destinati onlPAddress (宛先 IPアドレス）」の値を無条件 (any)とし、かつ、 IPの上位層のプロト コノレ種別を示す「Protocol (プロトコノレ）」が「ICMP (internetControlMessageProtocol) 」となる属性値の組を指定するようにしてもょ 、。

[0059] 図 4は、不正トラヒック検出条件テーブル 13bに記憶される情報、より詳細には、攻 撃容疑パケットのトラヒック力も不正トラヒックを検出するために用いられる「不正トラヒ ック条件」の一例を示す図である。同図に示すように、不正トラヒック条件は、既知の D DoS攻撃の複数のトラヒックパターン力も構成され、攻撃容疑パケットのトラヒックカ^ヽ ずれかのトラヒックパターンに合致した場合に、不正トラヒックであると認識される。な お、番号はレコード (パターン)を特定するために便宜上使用されるものである。

[0060] 具体的には、番号 1の不正トラヒック条件は、「伝送帯域 TlKbps以上、パケットが S 1秒以上連続送信されている」というトラヒックパターンを示している。また、番号 2の不 正トラヒック条件は、「伝送帯域 T2Kbps以上、 ICMP (InternetControlMessageProto col)上のエコー応答（EchoReply)メッセージのパケットが S2秒以上連続送信されてい る」というトラヒックパターンを示している。さらに、番号 3の不正トラヒック条件は、「伝送 帯域 T3Kbps以上、データが長すぎるためパケットに含まれるデータは複数 IPバケツ トに分割して送信していることを示すフラグメントパケットが S3秒以上連続送信されて V、る」と 、うトラヒックパターンを示して 、る。

[0061] 図 5は、正規条件テーブル 13cに記憶される情報、より詳細には、正当な利用者が 利用して!ヽる通信端末 30から送信されるパケットを表す「正規条件」の一例を示す図 である。同図に示すように、正規条件は、 IPパケットにおける属性とそれら属性値の 組からなる複数のレコードで構成される。なお、番号はレコード (パターン)を特定する ために便宜上使用されるものである。 [0062] 具体的には、番号 1のレコードの検出属性は、 IPの「SourceIPAddress (送信元 IPァ ドレス）」が「172.16.10.0/24」であることを指定し（src=172.16.10.0/24)、番号 2のレコ ードの検出属性は IP上のサービス品質を示す「TypeoService (サービスタイプ）」が「 (16進で) 01」であることを指定している（TOS=0x01)。このような正規条件には、例え ば、サーバ所有者の会社の支店や、関連会社など、防御対象のサーバ 20等の送信 元 IPアドレスが設定され、サーバ 20が収容されて!、る LANの所有者が正規ユーザ であると認識しているネットワークの送信元 IPアドレスなどが設定される。

[0063] 図 2の説明に戻ると、攻撃検出部 13は、パケット取得部 12によって提供された統計 情報に基づいて攻撃の検出を検出した場合に、攻撃容疑トラヒックの通信パケット（ 攻撃容疑パケット）を制限するための容疑シグネチヤを生成する。具体的には、攻撃 検出部 13は、図 3に示した攻撃容疑検出条件に従って、検出間隔で指定されている より長 、時間連続して、検出閾値で指定されて 、る以上の伝送帯域を使用して 、る、 検出属性に合致するトラヒックをチェックし、各レコードの内のいずれかのレコードに 合致した場合には、このトラヒックを攻撃容疑トラヒックとして検出し、このときに検出さ れた攻撃容疑トラヒックが満たしている攻撃容疑検出条件のレコードの検出属性を容 疑シグネチヤとして生成する。

[0064] また、攻撃検出部 13は、攻撃を検出した場合に、容疑シグネチヤとともに正規シグ ネチヤを生成する。具体的には、図 5に示した正規条件を参照し、正規条件の全ての レコード毎に、容疑シグネチヤとの AND条件をとり、これを正規シグネチヤとして生成 する。この正規シグネチヤは、容疑シグネチヤ力も正規ユーザの通信パケットである 正規パケットを許可するために用いられるシグネチヤである力 例えば、図 3および図 5の例を用いて説明すると、図 3における番号 1のレコードの条件で検出されるバケツ トの容疑シグネチヤは、 [dst=192.168.1. l/32,Protocol=TCP,Port=80]となり、図 5にお いて、正規シグネチヤは、 [src=172.16.10.24,dst=192.168.1. l/32,Protocol=TCP,Port =80]および [TOS=0x01,dst=192.168.1.1/32, Protocol=TCP,Port=80]となる。

[0065] さらに、攻撃検出部 13は、図 4に示した不正トラヒック条件のいずれかのパターンに 合致するトラヒックを検出した場合に、不正トラヒックを制限するための不正シグネチヤ を生成する。具体的には、検出された不正トラヒック条件を満たすパケットの送信元 IP アドレスを不正アドレス範囲として特定し、この不正アドレス範囲であり、かつ、容疑シ グネチヤに合致するという条件を不正シグネチヤとして生成する。

[0066] 上述してきた攻撃検出部 13によって生成された容疑シグネチヤ、正規シグネチヤ および不正シグネチヤは、後述する優先順位決定部 15の処理によってシグネチヤリ スト 16aに登録される。なお、シグネチヤリスト 16aに登録されるシグネチヤ (容疑シグ ネチヤ、正規シグネチヤおよび不正シグネチヤ）としては、かかる攻撃検出部 13によ つて生成されたシグネチヤの他に、後述するシグネチヤ通信部 14を介して隣接中継 装置から受信したシグネチヤや、入力部 17を介してネットワーク管理者力も入力され たシグネチヤ (新たに設定されるシグネチヤや修正されたシグネチヤ)もある。

[0067] 図 2において、シグネチヤ通信部 14は、攻撃検出部 13が生成したシグネチヤ等を 隣接中継装置に送信するとともに、隣接中継装置カゝら送信されたシグネチヤを受信 する処理部である。

[0068] 優先順位決定部 15は、後述するシグネチヤリスト 16aに登録するシグネチヤ（シグ ネチヤ通信部 14が受信したシグネチヤ、攻撃検出部 13が生成したシグネチヤ、入力 部 17を介してネットワーク管理者が設定したシグネチヤ）について優先順位を決定す る処理部である。つまり、優先順位を決定した結果を表すシグネチヤリスト 16aを作成 し、作成したシグネチヤリスト 16aをフィルタ部 16に登録する。なお、シグネチヤには、 特定のパケットが流入するときの帯域を制限するための制限情報が含まれる。

[0069] ここで、図 6を用いて、シグネチヤリスト 16aを説明する。図 6は、シグネチヤリスト 16a に記憶される情報の例を示す図である。同図に示すように、シグネチヤの種別には、 ネットワーク管理者が設定した設定シグネチヤと、中継装置 10で自動的に生成され た自動生成シグネチヤ（シグネチヤ通信部 14が受信したシグネチヤ、攻撃検出部 13 が生成したシグネチヤ）とに分けることができ、また、それぞれのシグネチヤについて も、不正なパケットを制限させるための不正シグネチヤと、正当なパケットを許可する ための正規シグネチヤと、攻撃容疑パケットを制限するための容疑シグネチヤとに分 けることができる。

[0070] そして、同図に示すように、本実施例において、優先順位決定部 15は、自動的に 生成された「自動生成シグネチヤ」よりも「設定シグネチヤ」の方が優先度が高くなるよ うに、シグネチヤリスト 16aに登録するシグネチヤの優先順位を決定する。さらに、優 先順位決定部 15は、同図に示すように、「正規シグネチヤ」や「容疑シグネチヤ」よりも 「不正シグネチヤ」の方が優先度が高くなるように、また、「容疑シグネチヤ」よりも「正 規シグネチヤ」の方が優先度が高くなるように、シグネチヤリスト 16aに登録するシグネ チヤの優先順位を決定する。具体的には、図 6の例では、シグネチヤに対応付けられ る優先順位が小さ 、ほど優先度が高 、ことを意味しており、設定シグネチヤ (シグネ チヤ Aおよびシグネチヤ B)、不正シグネチヤ（シグネチヤ C)、正規シグネチヤ（シグネ チヤ D)、容疑シグネチヤ (シグネチヤ E及びシグネチヤ F)の順で優先度が低くなる。

[0071] また、優先順位決定部 15は、例えば、図 6に示したシグネチヤ Eおよびシグネチヤ F のように、同一の種別内に複数のシグネチヤがある場合には、それぞれのシグネチヤ に含まれる制限情報の内容に応じて優先順位を決定する。具体的に例を挙げれば、 シグネチヤの制限帯域 (この制限帯域に含まれるパケットであれば通過を許可すると いう制限帯域)が小さいほど、シグネチヤの優先度を高くする。

[0072] また、優先順位決定部 15は、同一の種別内にある複数のシグネチヤ (例えば、制 限情報を含まない正規シグネチヤ）について、シグネチヤリスト 16aに入力された順に 優先度を高くするようにしてもよい。さらに、同一の種別内にある複数のシグネチヤに ついて制限帯域が同じであった場合にも、シグネチヤリスト 16aに入力された順に優 先度を高くするようにしてもょ 、。

[0073] このように、優先順位決定部 15は、シグネチヤの種別や制限帯域等に基づ 、て、 シグネチヤ通信部 14が受信したシグネチヤ、攻撃検出部 13が生成したシグネチヤ、 並びに、入力部 17を介してネットワーク管理者が設定したシグネチヤについて、優先 順位を決定する。そして、優先順位決定部 15は、力かる優先順位が付与されたシグ ネチヤをシグネチヤリスト 16aに登録する。

[0074] 図 2において、フィルタ部 16は、ネットワークインタフェース部 11が受信したパケット を受け入れて、シグネチヤリスト 16aに基づいてパケットの通過（ネットワークインタフエ ース部 11からのパケットの出力）を制御する処理部である。具体的には、フィルタ部 1 6は、入力されたパケットについて、シグネチヤリスト 16aに登録された「不正シグネチ ャ」、「正規シグネチヤ」、「容疑シグネチヤ」のいずれかに該当するか (もしくはいずれ にも該当しないか）を判別する処理を行うが、より詳細には、シグネチヤリスト 16aに登 録されたシグネチヤのな力から優先順位 (優先度)の高 、順にシグネチヤを選択し、 選択したシグネチヤに該当する力否かを判別する。すなわち、図 6に示した例で言え ば、シグネチヤ A力もシグネチヤ Fの順にシグネチヤを選択する。

[0075] そして、フィルタ部 16は、入力されたパケットが、優先度に従って順に選択したいず れかのシグネチヤの条件を満たして 、た場合には、パケットを後述する所定のキュー に入力する、または廃棄するなど、選択したシグネチヤの内容に基づいてパケットの 通過を制御するが、力かる制御の後には、この制御に用いたシグネチヤよりも優先順 位の低いシグネチヤに対する処理を行わない。つまり、例を挙げれば、入力されたパ ケットがシグネチヤ Aおよびシグネチヤ Bの条件を満たさず、シグネチヤ Cの条件を満 たしていた場合には、フィルタ部 16は、シグネチヤ Cに基づいてパケットを所定のキュ 一に入力する、または廃棄するなど、不正シグネチヤに対応する処理を行い、このよ うに制御したパケットにお 、て、シグネチヤ Cよりも優先順位の低 、シグネチヤとなるシ グネチヤ Dからシグネチヤ Fを用いて処理することはしな!/、。

[0076] ここで、キューについて説明すると、フィルタ部 16は、不正シグネチヤに該当するパ ケットは、不正なパケットを処理するための不正キューに入力し、容疑シグネチヤに該 当するパケットは、容疑ユーザ用の容疑キューに入力し、正規シグネチヤに該当する パケットまたはいずれのシグネチヤにも該当しないパケットは、正規ユーザ用の正規 キューに入力する。その上で、フィルタ部 16は、正規キューに入力されたパケットに ついては、伝送帯域を制限せずにネットワークインタフェース部 11から出力し、容疑 キューおよび不正キューに入力されたパケットについては、それぞれのシグネチヤ（ 条件を満たすとして選択されたシグネチヤ）が示す伝送帯域制限値に従って制限し て出力する。

[0077] なお、フィルタ部 16は、シグネチヤリスト 16aに登録されたシグネチヤの検出属性等 が所定の解除判断基準を満たした場合には、この所定の解除判断基準を満たしたシ グネチヤを解除し、解除したシグネチヤに基づ 、てパケットの通過を制御する処理を 停止する。

[0078] [攻撃容疑パケット検出時の処理] 続いて、図 7を参照して、上記した中継装置 10による攻撃容疑パケット検出時の動 作処理を説明する。図 7は、攻撃容疑パケット検出時の処理手順を示すフローチヤ一 トである。

[0079] 同図に示すように、中継装置 10の攻撃検出部 13は、図 3に示した攻撃容疑検出条 件テーブル 13aに基づいて攻撃容疑トラヒックを検出すると (ステップ S1)、容疑シグ ネチヤおよび正規シグネチヤを生成する (ステップ S2)。そして、優先順位決定部 15 は、攻撃検出部 13によって生成された容疑シグネチヤおよび正規シグネチヤを受け 入れて、シグネチヤの優先順位を決定する (ステップ S3)。

[0080] 具体的には、優先順位決定部 15は、容疑シグネチヤよりも正規シグネチヤの方を 優先順位を高く決定するとともに、容疑シグネチヤの種別に対応するシグネチヤが複 数ある場合には、それぞれのシグネチヤに含まれる制限情報の帯域が小さいほど、 シグネチヤの優先順位を高く決定する。さらに、既にシグネチヤリスト 16aに登録され ている設定シグネチヤの方が優先順位が高くなるように、攻撃検出部 13によって生 成された容疑シグネチヤおよび正規シグネチヤの優先順位を決定する。

[0081] その後、優先順位決定部 15は、優先順位を決定した結果を表すシグネチヤリスト 1 6aを作成し、作成したシグネチヤリスト 16aをフィルタ部 16に登録する（ステップ S4)。 さらに、シグネチヤ通信部 14は、攻撃検出部 13が生成したシグネチヤ等 (本実施例 では、容疑シグネチヤおよび正規条件)を隣接中継装置に送信する (ステップ S5)。 なお、優先順位決定部 15は、攻撃容疑トラヒックを検出した場合だけでなぐ後述す るように、シグネチヤ通信部 14が他の中継装置 10からシグネチヤを受信した場合や ネットワーク管理者がシグネチヤを入力した場合にも、同様に優先順位を決定する。

[0082] [シグネチヤ受信時の処理]

続いて、図 8を参照して、上記した中継装置 10によるシグネチヤ受信時の動作処理 を説明する。図 8は、シグネチヤ受信時の処理手順を示すフローチャートである。

[0083] 同図に示すように、中継装置 10のシグネチヤ通信部 14が、隣接中継装置から送信 されたシグネチヤ等 (本実施例では、容疑シグネチヤおよび正規条件)を受信すると（ ステップ S11)、攻撃検出部 13は、シグネチヤ通信部 14が受信した正規条件に基づ V、て正規シグネチヤを生成する（ステップ S 12)。 [0084] さらに、優先順位決定部 15は、シグネチヤ通信部 14が受信した容疑シグネチヤお よび攻撃検出部 13が生成した正規シグネチヤを受け入れて、シグネチヤの優先順位 を決定する (ステップ S 13)。ここで、優先順位の決定手法は、上記した攻撃容疑パケ ット検出時で採用するものと同様である。つまり、容疑シグネチヤよりも正規シグネチ ャの方を優先順位を高く決定するとともに、容疑シグネチヤの種別に対応するシグネ チヤが複数ある場合には、それぞれのシグネチヤに含まれる制限情報の帯域が小さ いほど、シグネチヤの優先順位を高く決定する。さらに、既にシグネチヤリスト 16aに 登録されている設定シグネチヤの方が優先順位が高くなるように、隣接中継装置力 受信した容疑シグネチヤおよび攻撃検出部 13によって生成された正規シグネチヤの 優先順位を決定する。

[0085] その後、優先順位決定部 15は、優先順位を決定した結果を表すシグネチヤリスト 1 6aを作成し、作成したシグネチヤリスト 16aをフィルタ部 16に登録する（ステップ S 14) 。さらに、シグネチヤ通信部 14は、隣接中継装置力も受信したシグネチヤ等 (本実施 例では、受信した容疑シグネチヤおよび正規条件)を隣接中継装置に送信する (ステ ップ S15)。

[0086] [不正パケット検出時の処理]

続いて、図 9を参照して、上記した中継装置 10による不正パケット検出時の動作処 理を説明する。図 9は、不正パケット検出時の処理手順を示すフローチャートである。

[0087] 同図に示すように、中継装置 10の攻撃検出部 13は、図 4に示した不正トラヒック条 件検出テーブル 13b等に基づいて不正トラヒックを検出すると (ステップ S21)、不正 シグネチヤを生成する (ステップ S22)。そして、優先順位決定部 15は、攻撃検出部 1 3によって生成された不正シグネチヤを受け入れて、シグネチヤの優先順位を決定す る（ステップ S 23)。

[0088] 具体的には、優先順位決定部 15は、既にシグネチヤリスト 16aに登録されている設 定シグネチヤの方が優先順位が高くなるように、また、既にシグネチヤリスト 16aに登 録されて!/、る容疑シグネチヤや正規シグネチヤよりも優先順位が高くなるように、攻撃 検出部 13によって生成された不正シグネチヤの優先順位を決定する。さらに、不正 シグネチヤの種別に対応するシグネチヤが複数ある場合には、それぞれのシグネチ ャに含まれる制限情報の帯域が小さいほど、シグネチヤの優先順位を高く決定する。

[0089] その後、優先順位決定部 15は、優先順位を決定した結果を表すシグネチヤリスト 1 6aを作成し、作成したシグネチヤリスト 16aをフィルタ部 16に登録する（ステップ S24) 。なお、優先順位決定部 15は、攻撃容疑トラヒックを検出した場合や、他の中継装置 10からシグネチヤを受信した場合、不正パケットを検出した場合の他に、ネットワーク 管理者カゝら入力部 17を介してシグネチヤを入力した場合にも、上記した優先順位の 決定手法に従って、ネットワーク管理者が設定したシグネチヤの優先順位を決定する

[0090] [実施例の効果]

上述してきたように、上記の実施例によれば、シグネチヤリスト 16aに登録されるシグ ネチヤにつ 、て優先順位を決定しておき、優先順位の高 、順にシグネチヤを選択し 、当該選択されたシグネチヤに基づいてパケットの通過を制御するので、複数のシグ ネチヤがある場合において所望の順序でパケットを処理することが可能になる。

[0091] また、上記の実施例によれば、自動生成シグネチヤよりも設定シグネチヤの方に高 V、優先順位を付与するので、ネットワーク管理者が設定した設定シグネチヤが優先 的にパケットの制御に用いられる結果、ネットワーク管理者が意図する制御を優先的 に行うことが可能になる。

[0092] また、上記の実施例によれば、パケットの通過を所定の範囲で制限するための複数 のシグネチヤにっ 、ては、制限の範囲が厳し ヽシグネチヤの方に高 、優先順位を付 与するので、シグネチヤに含まれる制限情報の帯域が厳 、シグネチヤほど優先的 にパケットの制御に用いられる結果、パケットの制御に矛盾を生じさせることなぐ確 実にパケットを処理することが可能になる。

[0093] [他の実施例]

さて、これまで本発明の実施例について説明したが、本発明は上述した実施例以 外にも、種々の異なる形態にて実施されてよいものである。

[0094] 例えば、上記の実施例では、「容疑シグネチヤ」よりも「正規シグネチヤ」の方が優先 度が高くなるように優先順位を決定する場合を説明したが、本発明はこれに限定され るものではなぐ「正規シグネチヤ」よりも「容疑シグネチヤ」の方が優先度が高くなるよ うに優先順位を決定するようにしてもよい。すなわち、上記の実施例で説明した優先 順位の決定手法は、あくまでも一例であって、本発明はこれに限定されるものではな ぐ他の優先順位決定手法を採用する場合にも本発明を同様に適用することができ る。

[0095] また、上記の実施例では、攻撃検出時に「容疑シグネチヤ」を必ず生成し、この「容 疑シグネチヤ」の生成時、もしくは、他の中継装置からの「容疑シグネチヤ」の受信時 に「正規シグネチヤ」を生成する場合を説明したが、本発明はこれに限定されるもの ではなぐ「容疑シグネチヤ」を生成することなく「正規シグネチヤ」を生成したり、「容 疑シグネチヤ」を受信することなく「正規シグネチヤ」を生成したりするようにしてもょ ヽ

[0096] また、上記の実施例で図示した各装置 (例えば、図 1に例示した中継装置 10)の各 構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されているこ とを要しない。すなわち、中継装置 10の分散 '統合の具体的形態は図示のものに限 られず、中継装置 10の全部または一部を各種の負荷や使用状況などに応じて、任 意の単位で機能的または物理的に分散 '統合して構成することができる。さらに、中 継装置 10にて行なわれる各処理機能は、その全部または任意の一部が、 CPUおよ び当該 CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジ ックによるハードウェアとして実現され得る。

[0097] また、上記の実施例で説明した各処理のうち、自動的におこなわれるものとして説 明した処理の全部または一部を手動的におこなうこともでき、あるいは、手動的にお こなわれるものとして説明した処理の全部または一部を公知の方法で自動的におこ なうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体 的名称、各種のデータやパラメータを含む情報 (例えば、攻撃容疑検出条件テープ ル、不正トラヒック検出条件テーブル、正規条件テーブルの内容等）については、特 記する場合を除いて任意に変更することができる。

[0098] なお、上記の実施例では、本発明を実現する各装置 (例えば、中継装置 10)を機 能面力 説明した力 各装置の各機能はパーソナルコンピュータやワークステーショ ンなどのコンピュータにプログラムを実行させることによって実現することもできる。す なわち、本実施例 1で説明した各種の処理手順は、あら力じめ用意されたプログラム をコンピュータ上で実行することによって実現することができる。そして、これらのプロ グラムは、インターネットなどのネットワークを介して配布することができる。さらに、こ れらのプログラムは、ハードディスク、フレキシブルディスク（FD)、 CD— ROM、 MO 、 DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによ つて記録媒体力も読み出されることによって実行することもできる。つまり、例を挙げ れば、実施例に示したような中継装置用プログラムを格納した CD— ROMを配布し、 この CD— ROMに格納されたプログラムを各コンピュータが読み出して実行するよう にしてもよい。

産業上の利用可能性

以上のように、本発明に係る中継装置、中継方法および中継プログラム並びにネッ トワーク攻撃防御システムは、パケットの通過を制御するためのシグネチヤに基づい てネットワーク上のパケットの通過を制御する場合に有用であり、特に、複数のシグネ チヤがあっても所望の順序でパケットを処理することに適する。

Claims

請求の範囲

[1] パケットの通過を制御するためのシグネチヤを記憶するシグネチヤ記憶手段を有し

、当該シグネチヤ記憶手段に記憶されたシグネチヤに基づ 、てパケットの通過を制 御するネットワーク上の中継装置であって、

前記シグネチヤ記憶手段に記憶されるシグネチヤについて優先順位を決定する優 先順位決定付与手段と、

前記優先順位決定手段によって決定された優先順位の高 、順に、前記シグネチヤ 記憶手段からシグネチヤを選択し、当該選択されたシグネチヤに基づ ヽて前記パケ ットの通過を制御するパケット制御手段と、

を備えたことを特徴とする中継装置。

[2] 前記シグネチヤ記憶手段は、所定の条件判定によって自動的に生成された自動生 成シグネチヤおよび前記ネットワークの管理者によって設定された設定シグネチヤを 記憶するものであって、

前記優先順位決定手段は、前記シグネチヤ記憶手段に記憶される自動生成シグネ チヤおよび設定シグネチヤにつ!、て、当該自動生成シグネチヤよりも設定シグネチヤ の方に高 、優先順位を付与することを特徴とする請求項 1に記載の中継装置。

[3] 前記シグネチヤ記憶手段は、前記パケットの通過を所定の範囲で制限するための 複数のシグネチヤを記憶するものであって、

前記優先順位決定手段は、前記シグネチヤ記憶手段に記憶される複数のシグネチ ャにつ 、て、前記制限の範囲が厳 、シグネチヤの方に高 、優先順位を付与するこ とを特徴とする請求項 1または 2に記載の中継装置。

[4] 所定の攻撃容疑検出条件に基づいて攻撃容疑パケットを検出し、当該攻撃容疑パ ケットを制限するための容疑シグネチヤを生成する容疑シグネチヤ生成手段を備え、 前記優先順位決定手段は、前記容疑シグネチヤ生成手段によって容疑シグネチヤ が生成された場合に、当該容疑シグネチヤに優先順位を付与して前記シグネチヤ記 憶手段に格納することを特徴とする請求項 1に記載の中継装置。

[5] 所定の正規条件に基づ!、て正当なパケットを許可するための正規シグネチヤを生 成する正規シグネチヤ生成手段を備え、 前記優先順位決定手段は、前記正規シグネチヤ生成手段によって正規シグネチヤ が生成された場合に、当該正規シグネチヤに優先順位を付与して前記シグネチヤ記 憶手段に格納することを特徴とする請求項 1に記載の中継装置。

[6] 所定の不正トラヒック検出条件に基づいて不正パケットを検出し、当該不正パケット を制限するための不正シグネチヤを生成する不正シグネチヤ生成手段を備え、 前記優先順位決定手段は、前記不正シグネチヤ生成手段によって不正シグネチヤ が生成された場合に、当該不正シグネチヤに優先順位を付与して前記シグネチヤ記 憶手段に格納することを特徴とする請求項 1に記載の中継装置。

[7] 攻撃容疑パケットを制限するための容疑シグネチヤを他の中継装置力 受信する シグネチヤ受信手段を備え、

前記優先順位決定手段は、前記シグネチヤ生成手段によって容疑シグネチヤが受 信された場合に、当該容疑シグネチヤに優先順位を付与して前記シグネチヤ記憶手 段に格納することを特徴とする請求項 1に記載の中継装置。

[8] 前記他の中継装置力も受信した所定の正規条件に基づいて正当なパケットを許可 するための正規シグネチヤを生成する正規シグネチヤ生成手段を備え、

前記優先順位決定手段は、前記正規シグネチヤ生成手段によって正規シグネチヤ が生成された場合に、当該正規シグネチヤに優先順位を付与して前記シグネチヤ記 憶手段に格納することを特徴とする請求項 1に記載の中継装置。

[9] ネットワーク管理者力 シグネチヤを受け付けて入力するシグネチヤ入力手段を備 え、

前記優先順位決定手段は、前記シグネチヤ入力手段によってシグネチヤが入力さ れた場合に、当該シグネチヤに優先順位を付与して前記シグネチヤ記憶手段に格納 することを特徴とする請求項 1に記載の中継装置。

[10] パケットの通過を制御するためのシグネチヤを記憶するシグネチヤ記憶手段を有し

、当該シグネチヤ記憶手段に記憶されたシグネチヤに基づ 、てパケットの通過を制 御するネットワーク攻撃防御システムであって、

前記シグネチヤ記憶手段に記憶されるシグネチヤについて優先順位を決定する優 先順位決定付与手段と、 前記優先順位決定手段によって決定された優先順位の高 、順に、前記シグネチヤ 記憶手段からシグネチヤを選択し、当該選択されたシグネチヤに基づ ヽて前記パケ ットの通過を制御するパケット制御手段と、

を備えたことを特徴とするネットワーク攻撃防御システム。

[11] パケットの通過を制御するためのシグネチヤを記憶するシグネチヤ記憶手段を有し

、当該シグネチヤ記憶手段に記憶されたシグネチヤに基づ 、てパケットの通過を制 御するネットワーク上の装置における中継方法であって、

前記シグネチヤ記憶手段に記憶されるシグネチヤについて優先順位を決定する優 先順位決定付与工程と、

前記優先順位決定工程によって決定された優先順位の高 、順に、前記シグネチヤ 記憶手段からシグネチヤを選択し、当該選択されたシグネチヤに基づ ヽて前記パケ ットの通過を制御するパケット制御工程と、

を含んだことを特徴とする中継方法。

[12] 前記シグネチヤ記憶手段は、所定の条件判定によって自動的に生成された自動生 成シグネチヤおよび前記ネットワークの管理者によって設定された設定シグネチヤを 記憶するものであって、

前記優先順位決定工程は、前記シグネチヤ記憶手段に記憶される自動生成シグネ チヤおよび設定シグネチヤにつ!、て、当該自動生成シグネチヤよりも設定シグネチヤ の方に高 、優先順位を付与することを特徴とする請求項 11に記載の中継方法。

[13] 前記シグネチヤ記憶手段は、前記パケットの通過を所定の範囲で制限するための 複数のシグネチヤを記憶するものであって、

前記優先順位決定工程は、前記シグネチヤ記憶手段に記憶される複数のシグネチ ャにつ 、て、前記制限の範囲が厳 、シグネチヤの方に高 、優先順位を付与するこ とを特徴とする請求項 11または 12に記載の中継方法。

[14] パケットの通過を制御するためのシグネチヤをシグネチヤ記憶手段に記憶し、当該 シグネチヤ記憶手段に記憶されたシグネチヤに基づいてパケットの通過を制御する 方法をコンピュータに実行させる中継プログラムであって、

前記シグネチヤ記憶手段に記憶されるシグネチヤについて優先順位を決定する優 先順位決定付与手順と、

前記優先順位決定手順によって決定された優先順位の高 ヽ順に、前記シグネチヤ 記憶手段からシグネチヤを選択し、当該選択されたシグネチヤに基づ ヽて前記パケ ットの通過を制御するパケット制御手順と、

をコンピュータに実行させることを特徴とする中継プログラム。

[15] 前記シグネチヤ記憶手段は、所定の条件判定によって自動的に生成された自動生 成シグネチヤおよび前記ネットワークの管理者によって設定された設定シグネチヤを 記憶するものであって、

前記優先順位決定手順は、前記シグネチヤ記憶手段に記憶される自動生成シグネ チヤおよび設定シグネチヤにつ!、て、当該自動生成シグネチヤよりも設定シグネチヤ の方に高 ヽ優先順位を付与することを特徴とする請求項 14に記載の中継プログラム

[16] 前記シグネチヤ記憶手段は、前記パケットの通過を所定の範囲で制限するための 複数のシグネチヤを記憶するものであって、

前記優先順位決定手順は、前記シグネチヤ記憶手段に記憶される複数のシグネチ ャにつ 、て、前記制限の範囲が厳 、シグネチヤの方に高 、優先順位を付与するこ とを特徴とする請求項 14または 15に記載の中継プログラム。